tacacs+ an Cisco 2950 konfigurieren

[freddymc 10]

Hallo Leute!

 

ich will die Authentication des Switches zentral über einen Tacacs-Server laufen lassen.

Leider funktioniert die Anmeldung am Switch über den Tacacs nur, wenn der User mit Passwort in der /etc/tac-plus/tac-plus.conf festgelegt wird. Will ich jedoch per MySQL oder /etc/passwd authentifizieren, scheitert der Anmeldeversuch.

 

Im Beispiel unten ist der Anmeldeversuch mit 'fred' erfolgreich.

 

In der MySQL Datenbank steht ein User 'test' mit Passwort ENCRYPT('test') drin. Als Datenbank-Skelett wurde die tac_plus.sql verwendet die das Debian-Paket mitbringt (liegt unter /usr/share/doc/tac-plus). Die Encrypt-Verschlüsselung wird von http://www.gazi.edu.tr/tacacs/docs/tacacs_db.txt gefordert.

Rechte in DB sind gegeben, DB, Tabelle und Felder existieren wie angeben. Der Wert im Feld exp_time ist nicht abgelaufen, das lck-Flag ist auf "F" gesetzt.

Anmeldung scheitert

 

In /etc/passwd sind ebenfalls User angelegt, Anmeldung scheitert (natürlich getestet wenn "default authentication = file /etc/passwd" aktiviert).

 

Meine Configs:

 

tacacs+

# /etc/tac-plus/tacacs.conf
### TACACS+ Config

# Auth-Key
key = some_key

#default authentication = file /etc/passwd
default authentication = db mysql://user:password@localhost/tacacs/auth?usern&passwd

accounting file = /var/log/tac-plus/account.log

###### USER ######
user = DEFAULT {
default service = permit
}

#user = DEFAULT {
#	service = ppp
#	protocol = ip {
#	}
#}


# Enable-User
#user = $enable$ {
#	login = cleartext test
#}

user = fred {
default service = permit
login = cleartext fred_pw
}

 

Cisco

switch#sh ru
Building configuration...

Current configuration : 3337 bytes
!
! Last configuration change at 10:03:57 UTC Thu Mar 6 2008
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MySwitch
!
aaa new-model
aaa group server tacacs+ TACSERV
server 192.168.1.5
!
aaa authentication login default group TACSERV local line
enable secret secret_enable_pw
!
username rescue secret secret_rescue_pw
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
switchport access vlan 180
switchport mode trunk
switchport nonegotiate
no ip address
!

[HIER INTERFACE-ANWEISUNGEN interface FastEthernet0/2 bis 0/24 siehe config von 0/1]

interface GigabitEthernet0/1
description Uplink auf server soundso
switchport mode trunk
switchport nonegotiate
no ip address
!
interface GigabitEthernet0/2
switchport mode trunk
switchport nonegotiate
no ip address
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan100
ip address 192.168.1.90 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
!
tacacs-server host 192.168.1.5 key some_key
!
line con 0
exec-timeout 0 0
line vty 5 15
!
ntp server 192.168.1.60
end

 

Ich weiß nicht weiter... :confused:

 

Wäre nett wenn jemand helfen könnte :-)

 

Grüße,

Fred